UNIX:

Administracion
Redes en UNIX II
Juan Hernando Vieites
jhernando@fi.upm.es

Octubre 2014

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 1/1
Resumen

1 de redes y conexiones.
Configuracion
2 Acceso remoto.
3 de recursos.
Comparticion
Sistemas de ficheros remotos.

Autenticacion.
4 Otros servicios.
5
Seguridad en maquinas conectadas en red.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 2/1
Conexiones remotas

Herramientas historicas
telnet
rlogin (y rsh).

Presentan problemas de seguridad inherentes.

Secure Shell (ssh)
ssh es el protocolo mas
habitual para hacer login remoto.
La implementacion libra mas usada es OpenSSH.
Esta implementacion proporciona:
Un demonio servidor para aceptar conexiones entrantes
(sshd) y un cliente (ssh).
por medio de pares de clave publica/privada
Autenticacion

Distintos metodos de cifrado del canal seguro.
Redireccion de puertos (incluyendo servidor grafico).

Otras utilidades: ssh-agent, ssh-add, ...

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 3/1
 (password-less)
SSH sin contrasena
del par de claves publica-privada
Creacion
Se genera un par de claves con ssh-keygen.
Por defecto las claves son RSA y se almacenan como
/.ssh/id rsa y /.ssh/id rsa.pub.
La clave pulica
de debe copiar al fichero

/.ssh/authorized keys de la maquina remota.

Claves privadas protegidas con contrasena
Para evitar tener que introducir repetidamente la
de una clave privada cifrada se usa ssh-agent.
contrasena
Se ejecuta ssh-agent y se ejecuta su salida en el shell:
eval ssh-agent.
El mandato ssh-add descifra las claves privadas y se las
pasa al agente para que las almacene en memoria.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 4/1

Conexiones graficas remotas
Servidores X en remoto
Existen diversas herramientas para facilitar login grafico
a

una maquina remota
XDMCP es un protocolo que permite la encapsulacion
del
de red y tener un login
protocolo de X windows a traves
remoto de aspecto local.
VNC es otro protocolo que permite enviar eventos de

interfaz de una maquina a otra. Tiene servidor y clientes
especficos (RealVNC, TurboVNC, Remmina).
Tambien es posible redirigir las peticiones de X a traves
de
una conexion de ssh con ssh -X (X forwarding).
Otras alternativas son NX de NoMachine, XPra, ...

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 5/1
Servicio de Remote Procedure Call
Remote Procedure Calls (RPCs)
Sistema de comunicacion
interproceso por red
desarrollado por Sun Microsystems.
Un servidor llamado portmapper arranca en el puerto 111.
Los procesos locales registran programas con un ID unico.

Los clientes consultan al portmapper para invocar
funciones de un programa.

Servicios comunes
Dos servicios tpicos basadas en RPC son:
NFS (Network File System)
NIS (Network Information Service)

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 6/1
Sistemas de ficheros en red, NFS

Conceptos basicos
Network File System (NFS) es un protocolo de sistemas
de ficheros distribuidos.
Arquitectura cliente servidor.
Implementado sobre RPC y basado en XDR (eXternal
Data Representation)
Es una de las formas mas
habituales de exportar y montar
sistemas de ficheros remotos en sistemas UNIX.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 7/1
NFS, versiones

NFS v2
Primera version
abierta del protocolo e implementacion

Servidor sin estado
Obsoleto

NFS v3
Mejora de rendimiento frente a v2
Trasporte por TCP y UCP
Cerrojos proporcionados por demonios separados (lockd
y statd)

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 8/1
NFS, versiones
mas
NFS v4, version actual
Servidor con estado.
Integridad, privacidad y autenticacion
integradas
(RPCSEC GSS)
Los cerrojos forman parte integral del protocolo.
ACLs
Soporte para internacionalizacion

Mejor rendimiento (composicion
de operaciones, cache de
cliente).
Soporte y cooperacion
con firewalls y NATs
Soporte para replicacion
y migracion

Solo
TCP

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 9/1
Sistemas de ficheros en red, NFS

Arquitectura y configuracion
Servidor:

Exporta un directorio de su arbol de directorios (v2/v3) o
del arbol
una seleccion raz (v4).
Asigna permisos de acceso a hosts conocidos.
Normalmente se configura en (/etc/exports)
/home nombre cliente(rw,sync,no root squash) ...
Un demonio atiende las peticiones de las clientes.
Cliente:
El sistema de ficheros se indica como
servidor:directorio en vez de un nombre de dispositivo.
Montaje manual:
# mount -t nfs laurel:/home /home

Montaje automatico editando /etc/fstab:
laurel:/home /home nfs defaults,auto 0 0

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 10/1
Sistemas de ficheros en red, NFS
Cuestiones de seguridad
Los tipos de seguridad son:
AUTH NONE
AUTH SYS, basada en UIDs y GID, (el root de cualquier
cliente permitido puede hacerse pasar como cualquier
usuario remoto).
RPCSEC GSS (opcional en v3, obligatorio en v4) (necesita
Kerberos, LIPKEY o SPKM-3)
Para establecer la identidad de un cliente v2/v3 usan UID y
GID, v4 confa en un demonio que recibe cadenas
user@domain y las transforma a IDs en el otro extremo.
Existe un usuario nobody y el root tiene tratamiento
especial.
v2 y v3 no deben ser de visibilidad publica.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 11/1
 remota
Autenticacion
con NIS
Autenticacion
Sistema comun
para sistemas conectados en red.
Permite centralizar la gestion
usuarios.
Basado en arquitectura cliente/servidor.
Mantiene bases de datos compartidas por varias

maquinas.
(/etc/passwd, /etc/shadow).
Usuarios y contrasenas
Grupos (/etc/group).

NIS+
del sistema anterior que anade:
NIS+ es una revision
Mayor seguridad (certificados y cifrado).
Organizacion
jerarquica
y replicada de servidores.
Pero una configuracion
mas
compleja.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 15/1
 remota
Autenticacion
de servidor NIS
Configuracion
Un servidor define un domino de autenticacion

(/etc/defaultdomain).
Gestiona y almacena las bases de datos de usuarios y las
publica a los clientes (/etc/ypserv.securenets).
El servicio funciona por medio de un demonio (ypserv).
Puede haber servidores maestros y esclavos (configurable
en /etc/default/nis).

de cliente NIS
Configuracion
Un cliente se conecta a un domino NIS con ypbind para
poder consultar la base de datos.
La autenticacion
de la contrasena
se resuelve localmente.
La configuracion
esta en /etc/yp.conf y /etc/nsswitch.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 16/1
 remota
Autenticacion
con LDAP
Autenticacion
LDAP es un protocolo de acceso a directorios de
(Lightweight Directory Access Protocol)
informacion
La informacion
que puede almacenar un directorio de

LDAP es generica
y se organiza jerarquicamente.
Cada objecto de la base de datos tiene un DN
(Distinguished Name) que lo identifica y una serie de
clases a las que pertenece.
El servidor de LDAP por defecto abre el puerto 389.
OpenLDAP es una implementacion de la version
LDAPv3
que funciona en casi todos los UNIX actuales.
slapd, demonio servidor de LDAP
slurpd, demonio de replicacion y actualizacion.

Bibliotecas de soporte.
Herramientas, utilidades y clientes.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 17/1
Super-servidores inetd e xinetd

Super-servidores historicos.

Proceso unico
que abre varios puertos de escucha y
despacha peticiones a esos puertos arrancando el
servidor que atiende el servicio.
El demonio inetd se configura en dos ficheros:
Programas de servicio: /etc/inetd.conf
#servicio socket proto flags usr serv
telnet stream tcp nowait root in.telnetd
time dgram udp wait root internal

Puertos estandar de servicio,/etc/services:
#nombre puerto/protocolo alias
telnet 23/tcp
time 37/udp timeserver
xinetd es una version
mejorada con mas
opciones.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 18/1
Otros servicios habituales

Demonios de envo correo

Servidores de ficheros (SMTP)
FTP Sendmail
TFTP Postfix
Servidores web Servidores de correo (IMAP,
Apache (apached) POP)
Lighttpd Courier
Cyrus

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 19/1
Conectividad con Windows

Samba (http://www.samba.org)
El protocolo SMB (Server Message Block) es utilizado por
los sistemas Windows para compartir discos e impresoras.
La implementacion
UNIX del protocolo se denomina
Samba.
Samba permite a una maquina
UNIX acceder a recursos
compartidos de una red Windows.
Cuentas de usuarios.
Carpetas compartidas.
Impresoras.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 20/1
Seguridad
Aspectos a considerar
Seguridad interior.
Seguridad exterior.
Deteccion
de intrusiones.

Tipos de ataques segun

el objetivo.
Acceso no privilegiado.
Acceso privilegiado.
Denegacion
de servicio.
Corrupcion
de la integridad de datos.
Revelacion
de datos confidenciales.
Ejecucion
de codigo

danino.
Inspeccion
y analisis
de la red.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 21/1
Seguridad interior

Atencion
a los programas con permisos de ejecucion

privilegiada. Bit s
Ese bit otorga temporalmente al usuario que ejecuta el
programa la identidad del propietario del fichero (ej.
passwd).
Si el programa no se usa: eliminarlo.
Si se usa: mantenerlo actualizado.
Restringir su uso.
Muchos ataques se basan en explotar algun
fallo en este
tipo de programas.
Cuando se consigue hacer fallar, se pueden llevar a cabo
ataques por denegacion de servicio o acceso como el
usuario propietario del programa.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 22/1
Seguridad exterior

El ordenador menos vulnerable es el que no esta conectado a

ninguna red.
Por ello hay que intentar:
Aislar equipos con informacion
sensible.
Minimizar los puntos de ataque.
Tomar medidas de deteccion
de intrusiones activas.
Verificar la integridad del sistema.
Tener cuidado con que se ejecuta como superusuario.
Gestionar las cuentas de usuario activas/inactivas.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 23/1
 de los servicios de red
Gestion

Si un servicio no se usa: eliminarlo.

Se se usa: tenerlo actualizado.
Ademas
conviene saber quien
usa cada servicio para

distinguir trafico
normal de trafico
anomalo.
Servicios mal configurados o desactualizados facilitan el
ataque al sistema.
Una vez dentro es mas
facil
borrar las huellas.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 24/1
Conexiones al sistema

Ficheros de acceso (/var/log/wtmp), /var/log/btmp.

Formato binario.
Se consultan con last
En todo momento se puede obtener un listado de las
conexiones activas de cualquier protocolo. Para TCP/IP se
usa el mandato netstat -ta:

Proto Recib Enviad Direcci

on local Direcci
on remota Estado
tcp 0 0 *:www *:* ESCUCHAR
tcp 0 0 *:ssh *:* ESCUCHAR
tcp 0 0 bb4:ipp *:* ESCUCHAR
tcp 0 0 bb4.cesvi:45964 laurel.dat:imap2 ESTABLECIDO

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 25/1
Filtrado de conexiones
TCP wrappers
Se trata de un sistema de seguridad basado en el filtrado
de conexiones que usan tcpwrappers (libwrap.so).
Se basa en dos ficheros de configuracion:

/etc/hosts.allow (toma precedencia)
/etc/hosts.deny
# hosts.allow
ALL: 138.100.: allow
sshd: ALL: deny

# hosts.deny
http: ALL EXCEPT LOCAL
# DenyHosts: Wed May 11 11:28:43 2011 | ALL: 200.54.194.196
ALL: 200.54.194.196

denyhosts es una herramienta que analiza los intentos de

login y genera reglas para hosts.deny automaticamente.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 26/1
Cortafuegos

La mejor opcion
de seguridad externa son los cortafuegos
o firewalls.
Filtran conexiones pero a un nivel inferior en la pila de
protocolos que TCP wrappers.
Se pueden configurar con iptables y reglas en la tabla de
filtrado que aceptan y rechazan paquetes segun
origen y
destino.
Para facilitar la escritura de reglas existen herramientas
que se apoyan en iptables.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 27/1
 de integridad del
Comprobacion
sistema
Rootkits
Antes de salir de un sistema hay borrar las huellas de la
(borrar logs, historiales, ...).
intrusion
Pero los troyanos solo
pueden pasar desapercibidos si se
ocultan a s mismos.

Verificaciones de integridad
Existen aplicaciones que comprueban periodicamente
la
integridad del sistema:
rkhunter: verifica la integridad de los ficheros de sistema.
unhide: detecta procesos ocultos.
Cuanto menos habitual sea la comprobacion
mas
difcil le
resultara al intruso detectarla e inhabilitarla.
jhernando@fi.upm.es UNIX: Redes en UNIX II
Administracion 28/1
 de maquinas
Autenticacion

de identidad, IP spoofing
Suplantacion
Muchos ataques se basan en suplantar la identidad de

maquinas en las que se confa (man-in-the-middle).
La unica
es implantar autenticacion
solucion entre

maquinas.

ssh fingerprints
Es un modo de autenticacion
rudimentario para
conexiones ssh.
Se trata de un resumen de la clave publica.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 29/1
 de maquinas
Autenticacion
IPsec
Encriptacion
y autenticacion
a nivel IP
IPsec-Tools (linux), KAME (FreeBSD, OpenBSD).
Bastante utilizado en la implementacion
a nivel de router
de VPNs corporativas.

Kerberos
Protocolo de autenticacion
en redes no confiables
desarrollado en el MIT.
Centraliza la autenticacion
en un servidor (KDC, Key
Distribution Center).
El sistema de concesion
de permisos se basa en testigos
autenticados.

jhernando@fi.upm.es UNIX: Redes en UNIX II

Administracion 30/1
Resumen configuracin NIS
(sin replicacin)

Administracin de sistemas informticos

Fernando Prez Costoya Noviembre de 2015
 Informacin y ops. requeridas
Dominio NIS al que se asocia la mquina
Rol: cliente, servidor maestro o esclavo
Servidor maestro
A qu mquinas se les da acceso
Volcado informacin configuracin (/etc) a repositorio
Actualizacin repositorio despus cambio conf (p.e. adduser)
Cliente
Localizacin de servidores
Para qu informacin de configuracin se usa NIS
Noviembre de 2015 Fernando Prez Costoya 2
 Configuracin maestro
Dominio NIS: /etc/defaultdomain
Rol: en /etc/default/nis NISSERVER=master
A qu mquinas se da acceso: /etc/ypserv.securenets
Ms info de configuracin en /etc/ypserv.conf
Volcar configuracin a repositorio: /usr/lib/yp/ypinit -m
Arrancar servicio (se iniciar, entre otros, ypserv)
Actualizar repositorio si cambia conf: make -C /var/yp

Noviembre de 2015 Fernando Prez Costoya 3

 Configuracin cliente
Dominio NIS: /etc/defaultdomain
Rol: en /etc/default/nis NISCLIENT=true
Localizacin de servidores: /etc/yp.conf

domain nombre_dominio server nombre_servidor
Para qu info. se usa NIS: /etc/nsswitch.conf
passwd: compat nis
.........
Arrancar servicio (se iniciar ypbind)

Noviembre de 2015 Fernando Prez Costoya 4